Vulnerabilidades críticas en Figma MCP 2025
Vulnerabilidad crítica - 8/10
Introducción
CVE-2025-53967 es una vulnerabilidad de inyección de comandos encontrada en el paquete figma-developer-mcp que afecta al servidor MCP usado para interactuar con datos de Figma.
Análisis
CVE-2025-53967 - CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H - 7,5
CVE-2025-53967 corresponde a una falla de inyección de comandos descubierta en el paquete figma-developer-mcp, utilizado para operar servidores MCP que interactúan con datos de Figma. El problema se origina en la forma en que el servidor construye y ejecuta comandos del sistema. En ciertas rutas de código, especialmente dentro del mecanismo de reintento denominado fetchWithRetry, cuando una solicitud falla, el servidor recurre a ejecutar el comando curl mediante child_process.exec, interpolando directamente parámetros provenientes de entradas externas como URLs o encabezados HTTP. Esa interpolación insegura permite que un atacante inserte metacaracteres de shell y consiga así la ejecución de comandos arbitrarios en el sistema operativo.
Versiones afectadas
Versiones anteriores a la 0.6.3.
Recomendaciones
- Actualizar a la versión 0.6.3 o posterior
- Evitar usar child_process.exec con entradas no confiables. En su lugar, usar APIs más seguras como child_process.execFile
Workarounds
No hay workarounds para esta vulnerabilidad.